Volexity 研究人员最近将一群巴基斯坦黑客与针对印度政府机构的网络间谍活动联系起来。
该组织的活动受到代号UTA0137的监控。
在攻击中,黑客使用名为DISGOMOJI 的恶意软件,该恶意软件用Golang语言编写,旨在感染基于 Linux 的系统。
这是公开的 Discord- C2项目的修改版本,它使用 Discord Messenger 进行控制,使用表情符号来传输恶意命令。
DISGOMOJI 是一款一体化间谍工具, 黑莓于今年 5 月在分析与透明部落(一个源自巴基斯坦的黑客组织)相关的基础设施时发现。
攻击从包含打包在 ZIP 存档中的 Golang ELF 可执行文件的网络钓鱼电子邮件开始。
此文件下载一个文档,该文档从远程服务器静默下载 DISGOMOJI 有效负载。
DISGOMOJI 是 Discord- C2的定制版本,旨在收集主机信息并执行从攻击者控制的 Discord 服务器收到的命令。
它使用通过表情符号发送的独特命令系统。
|
表情 符号 |
表情符号名称 |
命令描述 |
| 🏃♂️ | 跑步的人 | 在受害者的设备上执行命令。此命令接收一个参数,即要执行的命令。 |
| 📸 | 带闪光灯的相机 | 截取受害者的屏幕截图并将其作为附件上传到命令频道。 |
| 👇 | 反手食指朝下 | 从受害者的设备下载文件并将其作为附件上传到命令通道。此命令接收一个参数,即文件的路径。 |
| ☝️ | 食指向上 | 将文件上传到受害者的设备。要上传的文件随附此表情符号。 |
| 👉 | 反手食指指向右 | 将文件从受害者的设备上传到oshi[.]at远程文件存储服务 Oshi ( )。此命令接收一个参数,即要上传的文件的名称。 |
| 👈 | 反手食指指向左边 | 将文件从受害者的设备上传到transfer[.]sh远程文件共享服务。此命令接收一个参数,即要上传的文件的名称。 |
| 🔥 | 火 | 查找并发送受害者设备上所有与预定义扩展名列表匹配的文件。具有以下扩展名的文件会被窃取:CSV、DOC、ISO、JPG、ODP、ODS、ODT、PDF、PPT、RAR、SQL、TAR、XLS、ZIP |
| 🦊 | 狐狸 | 将受害者设备上的所有 Firefox 配置文件压缩。攻击者可以在以后检索这些文件。 |
| 💀 | 颅骨 | 使用 终止恶意软件进程os.Exit()。 |
在调查过程中,Volexity 还发现 UTA0137 使用了针对“BOSS 9”系统的 DirtyPipe (CVE-2022-0847) 特权提升漏洞,经过分析,Volexity 确定该系统仍然容易受到这种已有多年历史的漏洞的攻击。
这篇博文包括对 DISGOMOJI 恶意软件的分析;攻击者的技术细节,包括 UTA0137 使用第三方存储服务窃取数据;Linux 持久性技术;以及成功感染后使用的开源工具。
博客全文阅读链接
https://www.volexity.com/blog/2024/06/13/disgomoji-malware-used-to-target-indian-government/该恶意软件在 Discord 服务器上为自己创建了一个单独的通道,这意味着每个通道代表一个单独的受害者。
该公司发现了 DISGOMOJI 的多个变体,它们能够提供持久性、防止重复的 DISGOMOJI 进程运行、动态获取连接到 Discord 服务器的凭据。
并通过显示虚假信息和错误消息来避免分析。
UTA0137还使用 Nmap、Chisel 和 Ligolo等合法开源工具进行网络扫描和隧道,并利用DirtyPipe漏洞 (CVE-2022-0847)在Linux主机上进行权限升级。
另一种后利用策略涉及使用 Zenity 实用程序显示伪装成 Firefox 更新的恶意对话框,以诱骗用户获取密码。
攻击者使用基于 Golang 的恶意软件 DISGOMOJI 成功感染了多名受害者。
UTA0137 随着时间的推移改进了 DISGOMOJI。
因此,通过使用看似无害的表情符号作为命令,攻击者成功地将其恶意行为伪装成无辜的消息。
这种独特的策略表明网络犯罪分子在寻找绕过安全系统的新方法方面越来越聪明。
随着黑客越来越有创意地使用意想不到的工具和方法来实现其犯罪目标,组织必须提高对非常规攻击媒介的警惕性。
原文始发于微信公众号(网络研究观):用于传播恶意软件并与 C2 通信的表情符号武器
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论